Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el valor de retorno de una llamada strstr() o strchr() en la función Tokenizer() en el binario QCMAP_Web_CLIENT en la suite de software Qualcomm QCMAP (CVE-2020-25858)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-476 Desreferencia a puntero nulo (NULL)
Fecha de publicación:
15/10/2020
Última modificación:
26/10/2020

Descripción

El binario QCMAP_Web_CLIENT en la suite de software Qualcomm QCMAP anteriores a las versiones publicadas en octubre de 2020, no comprueba el valor de retorno de una llamada de strstr() o strchr() en la función Tokenizer(). Un atacante que invoca la interfaz web con una URL diseñada puede bloquear el proceso causando una denegación de servicio. Esta versión de QCMAP es usada en muchos tipos de dispositivos de red, principalmente puntos de acceso móviles y enrutadores LTE

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:qualcomm:qualcomm_mobile_access_point:-:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información